AlertEvidence
Include file, indirizzi IP, URL, utenti o dispositivi associati agli avvisi.
Attributi di tabella
Attributo | Valore |
---|---|
Tipi di risorsa | - |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | Sì |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
AccountDomain | string | Dominio dell'account. |
AccountName | string | Nome utente dell'account. |
AccountObjectId | string | Identificatore univoco per l'account in Azure Active Directory. |
AccountSid | string | ID di sicurezza (SID) dell'account. |
AccountUpn | string | Nome dell'entità utente (UPN) dell'account. |
Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'evento in formato matrice JSON. |
AlertId | string | Identificatore univoco per l'avviso. |
Applicazione | string | Applicazione che ha eseguito l'azione registrata. |
ApplicationId | INT | Identificatore univoco per l'applicazione. |
AttackTechniques | string | MITRE ATT&tecniche CK associate all'attività che ha attivato l'avviso. |
_BilledSize | real | Dimensioni del record in byte |
Categorie | string | Elenco di categorie a cui appartengono le informazioni, in formato matrice JSON. |
DetectionSource | string | Tecnologia o sensore di rilevamento che ha identificato il componente o l'attività rilevanti. |
DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
DeviceName | string | Nome di dominio completo (FQDN) del computer. |
EmailSubject | string | Oggetto del messaggio di posta elettronica. |
EntityType | string | Tipo di oggetto, ad esempio un file, un processo, un dispositivo o un utente. |
EvidenceDirection | string | Indica se l'entità è l'origine o la destinazione di una connessione di rete. |
EvidenceRole | string | Modalità di coinvolgimento dell'entità in un avviso, che indica se è interessato o è semplicemente correlato. |
FileName | string | Nome del file a cui è stata applicata l'azione registrata. |
FileSize | long | Dimensioni del file, in byte. |
FolderPath | string | Cartella contenente il file a cui è stata applicata l'azione registrata. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
LocalIP | string | Indirizzo IP assegnato al dispositivo locale usato durante la comunicazione. |
NetworkMessageId | string | Identificatore univoco per il messaggio di posta elettronica generato da Office 365. |
OAuthApplicationId | string | Identificatore univoco dell'applicazione OAuth di terze parti. |
ProcessCommandLine | string | Riga di comando usata per creare il nuovo processo. |
RegistryKey | string | Chiave del Registro di sistema a cui è stata applicata l'azione registrata. |
RegistryValueData | string | Dati del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
RegistryValueName | string | Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
RemoteIP | string | Indirizzo IP a cui si è connessi. |
RemoteUrl | string | URL o nome di dominio completo (FQDN) a cui è stata stabilita la connessione. |
ServiceSource | string | Prodotto o servizio che ha fornito le informazioni sull'avviso. |
SHA1 | string | SHA-1 del file a cui è stata applicata l'azione registrata. |
SHA256 | string | SHA-256 del file a cui è stata applicata l'azione registrata. Questo campo in genere non viene popolato. Usare la colonna SHA1, se disponibile. |
SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
TenantId | string | ID area di lavoro Log Analytics |
ThreatFamily | string | Famiglia di malware a cui è stato classificato il file o il processo sospetto o dannoso. |
TimeGenerated | Datetime | Data e ora (UTC) in cui è stato generato il record. |
Titolo | string | Titolo dell'avviso. |
Type | string | Nome della tabella |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per